Pamekar Firefox ngeunaan parantosan nguji rojongan pikeun DNS leuwih HTTPS (DoH, DNS leuwih HTTPS) jeung niat pikeun ngaktipkeun téhnologi ieu sacara standar pikeun pamaké AS dina ahir September. Aktivasina bakal dilaksanakeun sacara bertahap, mimitina pikeun sababaraha persén pangguna, sareng upami teu aya masalah, laun-laun ningkat kana 100%. Sakali AS katutupan, DoH bakal dianggap kaasup di nagara séjén.
Tés anu dilaksanakeun sapanjang taun nunjukkeun kabébasan sareng kinerja anu saé tina jasa, sareng ogé ngamungkinkeun pikeun ngaidentipikasi sababaraha kaayaan dimana DoH tiasa nyababkeun masalah sareng ngembangkeun solusi pikeun nyingkirkeunana (contona, dibongkar. kalayan optimasi lalu lintas dina jaringan pangiriman eusi, kadali parental sareng zona DNS internal perusahaan).
Pentingna énkripsi lalu lintas DNS ditaksir salaku faktor anu penting pisan pikeun ngajagaan pangguna, ku kituna diputuskeun pikeun ngaktipkeun DoH sacara standar, tapi dina tahap kahiji ngan ukur pikeun pangguna ti Amérika Serikat. Saatos ngaktifkeun DoH, pangguna bakal nampi peringatan anu bakal ngamungkinkeun, upami hoyong, nolak ngahubungi server DNS DoH terpusat sareng uih deui ka skéma tradisional pikeun ngirim pamundut anu teu énkripsi ka server DNS panyadia (gaganti infrastruktur anu disebarkeun tina DNS resolvers, DoH ngagunakeun mengikat ka layanan DoH husus, nu bisa dianggap hiji titik gagal).
Upami DoH diaktipkeun, sistem kontrol parental sareng jaringan perusahaan anu nganggo struktur ngaran DNS-hijina jaringan internal pikeun ngabéréskeun alamat intranet sareng host perusahaan tiasa kaganggu. Pikeun ngajawab masalah sareng sistem sapertos kitu, sistem pamariksaan parantos ditambahkeun anu otomatis nganonaktipkeun DoH. Pamariksaan dilakukeun unggal waktos browser dibuka atanapi nalika parobahan subnet dideteksi.
Balik otomatis pikeun ngagunakeun solver sistem operasi standar ogé disadiakeun lamun gagal lumangsung salila resolusi via DoH (contona, lamun kasadiaan jaringan jeung panyadia DoH kaganggu atawa gagal dina infrastruktur na). Harti cék sapertos kitu tiasa dipertanyakeun, sabab teu aya anu nyegah panyerang anu ngatur operasi solver atanapi sanggup ngaganggu lalu lintas tina simulasi paripolah anu sami pikeun nganonaktipkeun enkripsi lalu lintas DNS. Masalahna direngsekeun ku nambahkeun item "DoH salawasna" kana setélan (diam teu aktif), nalika disetel, shutdown otomatis teu dilarapkeun, nu mangrupakeun kompromi lumrah.
Pikeun ngaidentipikasi solvers perusahaan, domain tingkat kahiji atypical (TLDs) dipariksa sareng solver sistem mulihkeun alamat intranet. Pikeun nangtukeun naha kadali parental diaktipkeun, usaha dilakukeun pikeun ngabéréskeun nami exampleadultsite.com sareng upami hasilna henteu cocog sareng IP anu saleresna, éta dianggap yén meungpeuk eusi sawawa aktip dina tingkat DNS. Alamat IP Google sareng YouTube ogé dipariksa salaku tanda pikeun ningali upami aranjeunna parantos diganti ku restrict.youtube.com, forcesafesearch.google.com sareng restrictmoderate.youtube.com. Mozilla tambahan ngalaksanakeun hiji host test tunggal , anu tiasa dianggo ku ISP sareng jasa kontrol parental salaku bandéra pikeun nganonaktipkeun DoH (upami host henteu dideteksi, Firefox nganonaktipkeun DoH).
Gawé ngaliwatan layanan DoH tunggal ogé berpotensi ngabalukarkeun masalah sareng optimasi lalulintas dina jaringan pangiriman eusi nu saimbang lalulintas ngagunakeun DNS (server DNS jaringan CDN urang ngahasilkeun respon nyokot akun alamat resolver jeung nyadiakeun host pangdeukeutna pikeun nampa eusi). Ngirim query DNS ti resolver pangdeukeutna ka pamaké dina CDNs sapertos ngakibatkeun balik alamat host pangdeukeutna ka pamaké, tapi ngirim query DNS ti resolver terpusat bakal balik alamat host pangdeukeutna ka server DNS-over-HTTPS. . Tés dina prakték nunjukkeun yén pamakean DNS-over-HTTP nalika nganggo CDN nyababkeun ampir teu aya telat sateuacan ngamimitian transfer kontén (pikeun sambungan gancang, telat henteu langkung ti 10 milliseconds, sareng kinerja anu langkung gancang dititénan dina saluran komunikasi anu laun. ). Pamakéan ekstensi Subnet Klién EDNS ogé dianggap nyayogikeun inpormasi lokasi klien ka solver CDN.
Hayu urang émut yén DoH tiasa mangfaat pikeun nyegah bocor inpormasi ngeunaan nami host anu dipénta ngalangkungan server DNS panyadia, merangan serangan MITM sareng spoofing lalu lintas DNS, ngalawan blocking dina tingkat DNS, atanapi pikeun ngatur padamelan upami éta. teu mungkin pikeun langsung ngakses server DNS (contona, nalika digawé ngaliwatan proxy). Upami dina kaayaan normal, pamundut DNS langsung dikirim ka server DNS anu ditetepkeun dina konfigurasi sistem, maka dina kasus DoH, pamenta pikeun nangtukeun alamat IP host dibungkus dina lalu lintas HTTPS sareng dikirim ka server HTTP, dimana solver prosés. requests via Web API. Standar DNSSEC anu aya nganggo enkripsi ngan ukur pikeun ngabuktoskeun kaaslianana klien sareng server, tapi henteu ngajagi lalu lintas tina interception sareng henteu ngajamin karusiahan pamundut.
Pikeun ngaktipkeun DoH di about:config, anjeun kudu ngarobah nilai variabel network.trr.mode, nu geus dirojong saprak Firefox 60. A nilai 0 disables DoH lengkep; 1 - DNS atanapi DoH dianggo, mana anu langkung gancang; 2 - DoH dianggo sacara standar, sareng DNS dianggo salaku pilihan mundur; 3 - ukur DoH dipaké; 4 - mode mirroring dimana DoH sareng DNS dianggo paralel. Sacara standar, server CloudFlare DNS dianggo, tapi tiasa dirobih ngalangkungan parameter network.trr.uri, contona, anjeun tiasa nyetél "https://dns.google.com/experimental" atanapi "https://9.9.9.9. .XNUMX/dns-query "
sumber: opennet.ru